關于IPv6(Inte.NET協議版本6)的最常見的神話之一是它將恢復所謂的端到端互聯網原則。本文解釋了當前企業WAN中當前無處不在的網絡地址轉換(NAT)如何使這種情況變得非常不可能。
互聯網的核心設計原則之一通常被稱為端到端原則,并贊成一個笨網絡,大部分信息都駐留在主機上。該原理導致一種體系結構,其中網絡簡單地將數據報從源主機轉發到目的地主機(或主機集),而無需對轉發的數據報進行進一步的解釋。
隨著簡單的互聯網架構的發展,網絡設備的激增違反了這一原則。主要的例子是網絡地址轉換(NAT)和端口地址轉換(PAT-NAT的擴展)。
NAT本質上是為了保護稀缺的IPv4網絡地址(通過在多個主機之間共享網絡地址)而引入的。 例如,NAT是用于通過單個IPv4地址將整個家庭網絡連接到因特網的事實標準,通常由Internet服務提供商(ISP)分配。NAT通過重寫轉發數據報的IPv4地址和傳輸端口號,來違反端到端原則。NAT還阻止從外部網絡中的主機連接到NAT后面的主機的直接通信(因為NAT通常要求從內部網絡內發起通信)。NAT網絡地址轉換被指出會增加網絡的脆弱性,因為NAT的故障通常會影響NAT后面的整個網絡。此外,NAT對受益于端到端連接的應用程序(例如對等網絡)提出了挑戰。
雖然NAT的引入主要是由于需要共享稀缺的IPv4網絡地址,但使用NAT實現了許多其他好處:
-
NAT減少了主機暴露。
-
他們提供主機隱私/偽裝。
-
NAT可以隱藏網絡拓撲。
-
它們使企業的IP地址獨立于ISP。
特別是地址獨立性是導致具有大量公共IPv4地址的許多組織部署NAT的主要原因。
然而,由于NAT被廣泛地認為其唯一作用是共享稀缺的IPv4地址,通常假設IPv6(因為有數量巨大的真實IP地址)消除了NAT的需要和動機,因此IPv6的部署將因此而恢復 “互聯網的端到端原則”。
IPv6的神話:恢復了互聯網的端到端原則
仔細分析網絡地址轉換(NAT)在當前Internet體系結構中所扮演的角色以及當前部署IPv6的策略,可以幫助消除這種已經確立的 “IPv6恢復互聯網端到端原則” 的神話。
首先,如上所述,NAT提供除了共享稀缺網絡地址之外的有價值的特征,例如地址獨立性。NAT允許組織在組織網絡內使用所謂的私有地址空間,因此在切換ISP時不需要重新編號內部IP地址。這可能是IPv6版NAT(稱為NAT66)是最受歡迎的IPv6功能之一的原因之一。
其次,因為人們傾向于抵制變化(厭惡變化的心理)及其他原因,很有可能原有的IPv4網絡的安全架構將被用于新的IPv6網絡,因此,典型的IPv6子網將受到只允許返回業務的有狀態防火墻保護(即,IPv6子網僅允許從網絡內部發起的通信實例)。
最后,無論是IPv4和IPv6互聯網中,IPv6過渡/雙棧技術將導致部署大量的NAT。在IPv4 Internet中,將部署不同風格的NAT(CGN、A+P等),從而即使IPv4地址空間耗盡,也可以向新節點提供本地IPv4連接。在IPv6 Internet中,將部署IPv6/IPv4轉換器(如NAT64),以便IPv6-only節點可以與IPv4-only的節點進行通信。這與其他IPv6過渡/共存技術一起,必將至少在短期和近期內增加IPv4和IPv6互聯網的復雜性以及曾經笨網絡所需的智能。
IPv6不僅不可能恢復Internet的端到端原則,而且NAT在短期內很可能會增加:事實證明,長期以來被視為“罪惡”的NAT已經成為IPv6中所期望的特性和IPv6傳輸的關鍵組件。
